Quotidiennement, les entreprises du monde entier et de tous les secteurs s’appuient sur des interfaces de programmation d’applications (API) pour effectuer des opérations critiques. Qu’il s’agisse d’applications mobiles destinées aux clients ou d’échanges de données B2B complexes, les API font partie intégrante du fonctionnement des entreprises. Cependant, la sécurité des API est bien souvent négligée ou mal comprise. Le rythme rapide de l’innovation et l’expansion rapide de l’économie des API ont offert aux cybercriminels une multitude de nouvelles opportunités à exploiter.
Par Fabio Costa, Ingénieur en cybersécurité chez Akamai.
Aujourd’hui, la menace des API est en hausse. Tous les secteurs sont concernés, avec en tête de liste le commerce électronique, les services aux entreprises, les services média, le secteur public et les services financiers. Ces secteurs ont une forte dépendance aux API véhiculant un grand nombre de données confidentielles relatives aux clients, ce qui en fait une cible de choix pour les cyberattaquants.
L’ampleur des attaques visant les API de cette industrie est la preuve que cette menace doit être prise au sérieux. Il est impératif que les entreprises prennent le contrôle de l’ensemble de leurs API et s’assurent qu’elles sont protégées contre les activités malveillantes.
Pourquoi les API sont-elles essentielles pour l’entreprise ?
Les API sont un élément crucial du développement de logiciels modernes et ont révolutionné l’expérience employé et client. L’un des principaux facteurs de l’adoption généralisée des API a été la prolifération des applications mobiles. D’autres facteurs importants sont une plus grande automatisation des tâches et l’apparition de nouveaux équipements connectés, mais aussi un plus grand nombre d’intégration avec des partenaires en passant par Internet.
Si les avantages pour l’utilisateur sont souvent évidents, il y a aussi des raisons de s’inquiéter. Notre dépendance à l’égard des API se traduit par une plus grande vulnérabilité en raison de l’augmentation considérable de la surface d’attaque, d’autant plus que les API sont des cibles extrêmement lucratives pour les acteurs malveillants. En effet, les API transportent les « joyaux de la couronne » des données d’une organisation. En outre, la mise en œuvre de nouvelles API est souvent si rapide que de nombreuses équipes de sécurité se trouvent en retrait et doivent se démener pour améliorer la sophistication de leurs stratégies et pratiques de sécurité. Enfin, un défi de taille posée par les API est la fréquence de leurs mises à jour, qui peut être même quotidienne.
Comment les cybercriminels profitent-ils de la situation ?
Les cybercriminels exploitent l’inconnu et parfois le succès est au rendez-vous. Les organisations ne peuvent sécuriser que les API dont elles ont connaissance. Celles qui ne sont pas correctement prises en compte et qui ne disposent pas des protections nécessaires sont des cibles privilégiées pour les acteurs malveillants. Les angles morts tels que les API dites « fantômes » peuvent rendre les entreprises vulnérables. Il est inquiétant de constater que de nombreuses organisations n’ont pas une compréhension évidente de leur environnement API et ne sont pas en mesure de sécuriser la surface d’attaque qu’elles représentent.
En outre, les cybercriminels profitent également de la complexité croissante et de la nature évolutive des API. Les interactions complexes des API peuvent mettre à l’épreuve la capacité d’une organisation à garder ses normes de sécurité en avance sur les sophistications malveillantes. De même, les acteurs malveillants n’abandonnent pas après une tentative infructueuse, il est donc essentiel que les défenses soient constamment mises à jour et révisées.
La première étape pour relever les défis de la sécurité des API
Alors, que peuvent faire les organisations pour se protéger contre ce type de menace ? Elles doivent d’abord obtenir une vue complète de leurs API. L’une des plus grandes surprises pour de nombreuses entreprises est la découverte de nombreuses API « fantômes » qui fonctionnent sans qu’elles le sachent dans leur environnement.
La première étape du parcours vers la maturité de la sécurité des API consiste à découvrir systématiquement ces API fantômes et à s’assurer que chacune d’entre elles est soit mise hors service, soit formellement documentée et intégrée aux contrôles de sécurité des API de l’organisation. Cela a un impact immédiat sur la réduction du risque d’abus inattendu de l’API et d’autres menaces.
Souvent, les entreprises constatent un pic d’alertes lors du déploiement d’outils de sécurité des API et elles découvrent ensuite les lacunes de leurs processus au fur et à mesure qu’apparaissent des API non gérées ou non autorisées. Ces pics peuvent être gérés efficacement grâce à l’utilisation intelligente du triage dans les outils, afin d’évaluer le risque réel et d’orienter l’attention vers les actifs critiques concernés. Sans cela, des backdoors et des vulnérabilités inconnues continueront de croitre, pour le plus grand plaisir des acteurs malveillants.
La sécurité des API ne peut pas être laissée au second plan
Les entreprises doivent intégrer la sécurité des API dans leurs priorités afin d’améliorer la visibilité, renforcer les défenses et répondre aux exigences de conformité. Cela nécessite d’investir du temps et des ressources, ainsi que d’élaborer une stratégie continue pour protéger les API contre les menaces futures. Les stratégies efficaces de sécurité des API doivent être conçues en tenant compte de la protection contre les violations de données, de la conformité aux exigences réglementaires, de la préservation de la réputation et du respect de la confiance des clients et des partenaires qui interagissent avec les API.
